Een hacker kan heel Nederland platleggen

We sluiten deze week, die geheel onverwacht de week van de hacker, cracker en scriptkiddie is geworden, af met een geruststellend idee.

Eén hacker is in staat heel Nederland plat te leggen. Dat kan door in te breken in computernetwerken en bijvoorbeeld sluizen te openen, met overstromingen tot gevolg (bron).

Ook hier hebben we het gelukkig weer over een hacker die dit kan doen. Er wordt met geen woord gerept over een scriptkiddie…maar geloof me. De meest simpele aanvallen worden nu juist gepleegd door een scriptkiddie (omdat die immers niet weet wat hij doet). Geloof het of niet. Ook hackers en crackers hebben zo hun codes en ze hebben de balen van scriptkiddies die die code niet kennen of overtreden.

Overigens is dit niets nieuws want een aantal maanden geleden was er al van alles te doen om sluizen die met een simpel wachtwoord “beveiligd” waren, maar het sluit deze week natuurlijk wel erg mooi af en onderstreept de noodzaak van informatiebeveiliging.

Het is nu alleen nog wachten op een structurele aanpak. Veel organisaties hebben de afgelopen jaren flink bezuinigd op informatiebeveiliging. Daar lijken ze nu van terug te komen en informatiebeveiliging is ineens topprioteit waar zelfs het hoogste management zich tegenaan wil bemoeien. Maar als we dan toch de aandacht van het hoogste management hebben: mogen we dan ook alstublieft opteren voor die proactieve en structurele aanpak die nodig is en niet de reactieve aanpak die we nu volgen? Dat zorgt er niet alleen voor dat we beter beveiligd raken maar voorkomt ook dat we bakken met geld in de put scheppen.

Er zijn budgetten voor beveiliging en beveiligingsmaatregelen worden aan alle kanten aangeschaft en ingezet. Alles om maar te voorkomen dat we slachtoffer worden (jaja, het draait om imagoschade). Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Leest u de zin nog een keer en laat hem goed doordringen: Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Het lijkt tegen dovemansoren gezegd want na de virusaanval op de Gemeenten hebben we de virusscanners weer eens een update gegeven en gaan we weer rustig achterover hangen. Het is wachten op de volgende aanval en die zal sneller komen dan we nu verwachten…het is alleen maar te hopen dat het niet echt een keer uit de klauw loopt want als een hacker de sluizen open kan zetten dan krijgen we tot aan Amersfoort allemaal natte voeten.

Rest mij om u een fijn weekend te wensen en misschien moet je vast je lieslaarzen “uit het vet” halen.

Hacker gijzelt elektronische patientendossiers

Onwaarschijnlijk hè? Het voorbeeld dat we gisteren aanhaalden waarbij een scriptkiddie het niet door had dat hij ziektebeelden en patiëntgegevens door elkaar gooide? Gelukkig is zoiets helemaal niet mogelijk, of toch?

Een aanvaller is er onlangs in geslaagd om op de server van een Amerikaanse kliniek in te breken en de aanwezige elektronische patiëntendossiers voor losgeld te versleutelen (bron).

Informatiegijzeling. We hebben het er in het verleden ook al eens over gehad maar het lijkt toch nog niet echt bekend te zijn bij de meeste mensen. Hoe het in zijn werk gaat is vrij simpel (althans op papier): je breekt in op een netwerk en versleuteld alle data die je daar vindt. Vervolgens informeer je de organisatie en eis je losgeld voor het vrijgeven van de sleutels.

Als je het zo leest kan een kiddie de was doen. Nu was het, conform de definities, in dit voorbeeld gaan scriptkiddie maar een “echte” hacker (wow) dus gelukkig lopen we een stuk minder risico (want daar weren er niet zoveel van, weet je nog?). Maar dat valt te bezien. Want wie zegt me inderdaad dat dit een hacker was en geen scriptkiddie? Daarmee komen we terug op het feit dat hacker, cracker, scriptkiddie gewoon een definitiekwestie is waarbij we mensen het liefst in een hokje willen duwen (al is het alleen maar om het voor ons overzichtelijk te houden).

Nee, zoals eerder gesteld gaat het helemaal niet om de naam die we er aan hangen maar om de daad die ze verrichten. Een overvaller die binnenkomt met een op een wapen gelijkend waterpistool noemen we toch ook niet ineens een kwajongen?

Maar goed. Je zult met spoed naar deze kliniek moeten. Nog even en je blaast je laatste adem uit als je niet snel geholpen wordt. Even het dossier erbij…wat een vreemde 1-en en 0-en staan er in dat dossier? Nu maar snel het losgeld betalen: operatie geslaagd…patiënt overleden. Welkom in de realiteit.

Lezingen en lekken beste CV security professional

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

Webcam-hackers zetten slachtoffers op YouTube

En wederom kunnen we de discussie van gisteren voortzetten met het onderwerp van vandaag.

Het is nog altijd een sport onder ‘scriptkiddies’ om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is (bron).

Nu noemen we het geen hackers of crackers meer maar noemen we het scriptkiddies. En eerlijk is eerlijk: een goed hacker/cracker wil zich niet vergelijken met een scriptkiddie omdat die laatste gewoon een standaard tooltje draait om zijn kunstjes te doen. Ook dat is een definitiekwestie, wat mij betreft.

En het mag inderdaad onschuldig lijken. Je besmet een computer en begluurt degene aan de andere kant. Kom je leuke beelden tegen, dan zet je die vrolijk op Youtube. Nu is het natuurlijk al niet netjes om iemand te begluren (jaja, ook daar kun je voor opgepakt worden) maar als je ook nog iemand besmet hebt dan ben je een stuk onschuldiger.

“Moeten die mensen hun beveiliging maar aanzetten”; dat is de reactie die je van een scriptkiddie mag verwachten. Waarschijnlijk zijn ze zich niet eens bewust van de wetten die ze overtreden. Waren ze dat wel en was de pakkans een stuk groter dan zouden ze het wel uit hun hoofd laten.

Toch maar weer terug naar de analoge wereld: een dergelijke scriptkiddie gaat ook niet met een filmcamera door het badkamerraam van de buren filmen omdat hij begrijpt dat dat nou niet echt sjiek is. Maar veilig en anoniem achter zijn laptop denkt hij daar niet eens aan. Nee, hij ziet ergens een grappig artikeltje met een linkje en een manier waarop zoiets mogelijk is en voor je het weet bekijkt hij je door je webcam.

Als het goed is doe je de gordijnen van je badkamer ook dicht als je inkijkt hebt, misschien moet je dat dan ook maar overwegen met je webcam. Gewoon een plakbandje eroverheen en je kunt een stuk rustiger allerlei vreemde capriolen uithalen voor je webcam: niemand die je immers ziet (tenzij je de gordijnen niet dicht hebt gedaan en er iemand door je raam staat te gluren).

Hacker betekent ook crimineel

Er is nog altijd discussie over de betekenis van het woord ‘hacker’, maar de eerste bekende vermelding beschrijft een criminele daad. Hacker heeft zowel een negatieve als positieve lading, aldus Robert Graham van Errata Security. “Mensen blijven beweren dat hacker geen crimineel betekent en er daarom cracker moet worden gebruikt. Die claim valt niet te rechtvaardigen.” Het woord wordt zowel gebruikt om criminelen als “enthousiaste nerds” te omschrijven (bron).

Het is natuurlijk een definitiekwestie en of je nu hacker of cracker gebruikt maakt mij persoonlijk niet zoveel uit. Het gaat wat mij betreft om de daad die uitgevoerd wordt en dan wordt het in de digitale wereld ineens een stuk mistiger.

Sommige zaken vinden we digitaal heel normaal, terwijl we die in de analoge wereld niet zo snel zouden doen. Heb jij wel eens iemand aan alle voordeuren zien rammelen om te kijken of ze wel of niet op slot zijn?

Digitaal doen we dat dagelijks en als we merken dat er inderdaad een gaatje zit dan wordt het wel heel verleidelijk om daardoor naar binnen te glippen. Hoe goed je bedoeling misschien ook mag zijn, het blijft natuurlijk gewoon een misdadige daad die je normaal niet zo plegen.

Stel dat je wel aan de voordeur rammelde en dat daarbij de deur spontaan open springt. Zou jij dan midden in de nacht naar binnen gaan om te kijken wat er binnen allemaal te halen valt? Waarschijnlijk niet want je weet nooit of de bewoners een flinke waakhond in huis hebben.

Het blijft nog steeds vreemd dat we anders aan kijken tegen de digitale en analoge wereld en het blijft vreemd dat we (in al onze anonimiteit) in de digitale wereld bereid zijn om veel verder te gaan dan we normaal gesproken zouden doen.

Rammel jij dus weer eens aan een digitale of analoge voordeur, bedenk dan goed aan welke kant van de streep je blijft. Een digitale inbraak is ook een inbraak en die wil jij vast niet op je geweten hebben.